Was tun bei Datenverlust?Ein Gerüst für den Notfall
Neuer Notfall-Standard kommt
Was tun bei Datenverlust?
In einem uralten Witz heißt es, dass Standards eine so tolle Sache sind, dass jeder seinen eigenen haben will. Der neue britische Standard BS25999 für das Kontinuitätsmanagement macht einen sehr offensichtlichen Mangel wett und sollte von den Unternehmen nun als ein nützliche Vorgabe begrüßt werden, wenn es darum geht, kompetent in Notällen zu agieren.
Um es gleich vorweg zu nehmen: Ich glaube keinen PR-gesteuerten Studien, die den Anschein erwecken wollen, dass “fast niemand eine Datensicherung durchführt und die meisten Firmen das Risiko eingehen, geschäftskritische Daten zu verlieren?. Backup-Routinen mögen ja unter Privatverbrauchern und sogar mittelgroßen Firmen dünn gesät sein, aber für Großunternehmen trifft das nicht zu. Klar gibt es Vorfälle, dass Daten verloren gehen, weil Angestellte Backup-Slots verpasst haben oder unter kaputten Backup-Disks oder Bändern leiden mussten. Dass die Firmen sich aber nicht darum kümmern oder keine Strategie haben, ist einfach lächerlich. Wem schieben wir den schwarzen Peter zu? Hoffnungslosem Marketing? Dem Glauben an willfährige Journalisten? Oder gelangweilten Empfängern von Fragebögen? – egal, man sollte einfach nicht an solchen Blödsinn glauben.
Die Wahrheit ist etwas komplizierter. Die Unternehmen haben zumeist einen Plan für das Kontinuitätsmanagement, aber seine Umsetzung ist häufig mit Fehlern behaftet. Gründe für einen Totalausfall sind oft eher anekdotischer Natur: Ein Mangel an regelmäßigen Überprüfungen oder die Unfähigkeit, sich an Veränderungen anzupassen, etwa Änderungen in Arbeitsroutinen, weil ein Mitarbeiter geht und sein Know-how mitnimmt, oder weil ein neuer Chef kommt, der andere Prioritäten setzt, und so weiter.
Aktionspläne statt Katastophenstimmung
Was tun bei Datenverlust?
Man hört oft Klagen darüber, dass Prozesse für die Notfallwiederherstellung und das Kontinuitätsmanagement häufig mit großem Brimborium ins Leben gerufen werden und sich dann niemand mehr darum kümmert. Ausgelöst werden sie sehr häufig durch einen starken Impuls. Das kann ein Datenverlust oder ein systemischer Zusammenbruch bei einer Schwesterfirma sein oder aber ein Akt höherer Gewalt wie ein Erdbeben oder ein terroristischer Anschlag a la 11. September. Oft wird dann auf Drängen des Geschäftsführers in den Firmen Holterdiepolter ein neuer Plan für das Kontinuitätsmanagement aufgestellt, der alle Eventualitäten abdecken soll. Eine Spezialeinheit aus den hellsten und klügsten Köpfen wird eingesetzt. Ein hocheffizienter Prozess wird geschaffen. Der Plan wird vorgestellt. Die Leute denken: Großartig, alles was machbar ist, wurde auf der Grundlage der bestmöglichen Daten, die wir bekommen und zu diesem Zeitpunkt verarbeiten konnten, getan.
Und da liegt der Hase im Pfeffer. Wenn Mitarbeiter das Unternehmen verlassen, wenn die Firma sich neue Geschäftsbereiche erschließt, wenn die Erinnerung an den letzten großen Ausfall schwindet, verändert sich die Situation. Wie auch bei der Brandbekämpfung ist es nicht gut, das Ganze als einmalige Aktion zu betrachten. Stattdessen muss das Vorgehen allen mitgeteilt, überprüft und wiederholt werden, so dass alle Mitarbeiter und Partner in der Lieferkette wissen, wo sie im Fall des Falles stehen.
Vorlagen für den optimalen Katastrophenplan
Was tun bei Datenverlust?
Abgesehen von den Finanzdienstleistern und einigen wenigen anderen Bereichen, wo die die IT das Unternehmen buchstäblich am Laufen hält und Geld keine Rolle spielt, kenne ich nur wenige Firmen, die von sich sagen können, dass sie über einen derartigen optimalen Plan verfügen.
Hardware und Software können nur das ihre tun, obwohl es ein paar sehr interessante Initiativen gibt, wie das Projekt Kent von Citrix und IBM, das eine Echtzeit-Alarmierung und ein Echtzeit-Kommunikationssystem im Katastrophenfall anbietet. Aber was Not tut, ist ein breit angelegtes striktes Rahmenwerk – und hier kommt BS25999 ins Spiel. Jede Firma, die beweisen will, dass ihre Mitarbeiter auf das Schlimmste vorbereitet sind, sollte diesen Standard jetzt sehr genau studieren. Und obwohl er vom britischen Standard-Institut kommt, kann er auch als Vorbild für andere Länder dienen.
Das Business Continuity Institute führt eine ganze Reihe von weltweiten Standards an, die den EDV-Leitern Denkanstöße geben können: ITI, ISO 17799, IRM Risk Management Standard, der amerikanische NFPA 1600 oder die Singapore Technical Reference for business continuity.
Ob die für 2008 angekündigte zweite Erweiterung des BS25999 tatsächlich, wie von einigen erwartet, ein Rahmen um all die anderen Standards sein wird, steht noch offen. Literatur jedenfalls, die IT-Leitern hilft, ihre Notfallpläne richtig zu durchdenken, gibt es in Massen.